Dengan ancaman siber yang terus berkembang pesat, organisasi harus mengadopsi kerangka kerja yang kuat untuk melindungi aset informasi mereka. ISO/IEC 27001 adalah standar yang diakui secara global untuk mengelola risiko keamanan informasi secara sistematis.
Standar ini berawal dari Standar Inggris BS 7799-2 yang pertama kali diterbitkan pada tahun 1999 dan menjadi dasar dari sistem manajemen keamanan informasi (ISMS) yang lebih formal. Versi internasional pertamanya, ISO/IEC 27001:2005, diterbitkan pada tahun 2005 menggantikan BS 7799-2. Revisi besar kemudian dilakukan pada ISO/IEC 27001:2013, dan yang terbaru adalah versi tahun 2022. Versi ini dirancang untuk menghadapi tantangan modern seperti komputasi awan (cloud computing), kerja jarak jauh (remote working), dan serangan siber yang semakin canggih. Struktur dan kontrol Annex A-nya juga diselaraskan dengan ISO/IEC 27002:2022.
Di Overt Software Solutions, kami dengan bangga mengumumkan bahwa kami telah berhasil meningkatkan sertifikasi kami dari ISO 27001:2013 ke ISO 27001:2022, sebagai wujud komitmen kami dalam memberikan layanan TI yang aman dan mutakhir bagi para pelanggan kami.
Latar Belakang Perbandingan ISO 27001:2013 dan ISO 27001:2022
ISO 27001:2013 memberikan dasar yang kuat untuk membangun, menerapkan, memelihara, dan terus meningkatkan Sistem Manajemen Keamanan Informasi (ISMS). Tujuannya adalah membantu organisasi dalam mengidentifikasi risiko, menerapkan pengendalian (kontrol), dan memastikan perbaikan berkelanjutan dalam praktik keamanannya.
Namun, pada akhir tahun 2010-an, lanskap keamanan siber berubah drastis. Munculnya layanan cloud, perangkat Internet of Things (IoT), sistem kerja jarak jauh, dan ancaman siber canggih seperti ransomware, menyoroti keterbatasan pada versi 2013. Karena itu, standar ini perlu diperbarui agar tetap relevan dan efektif.
ISO 27001:2022 diterbitkan pada Oktober 2022. Versi ini membangun fondasi dari versi sebelumnya, namun menambahkan perbaikan dan kontrol baru. Pembaruan ini mencerminkan perkembangan teknologi dan kebutuhan organisasi saat ini, sehingga ISO 27001 tetap menjadi alat yang relevan untuk mengelola risiko keamanan informasi secara modern.
Sebagai contoh, ISO 27001:2013 belum banyak memberikan panduan terkait keamanan cloud atau intelijen ancaman — dua hal yang kini sangat penting bagi banyak bisnis. Revisi tahun 2022 menutupi kekurangan tersebut dan menjadikan standar ini lebih siap menghadapi tantangan di era digital saat ini.
Perubahan Struktural
Struktur ISO 27001 terdiri dari dua bagian utama:
- Klausul inti (pasal 4 sampai 10) – berisi persyaratan utama untuk Sistem Manajemen Keamanan Informasi (ISMS).
- Annex A – berisi daftar kontrol keamanan spesifik yang harus diterapkan.
Antara versi 2013 dan 2022, klausul utama (pasal 4–10) secara umum masih sama, tetapi versi 2022 memberikan penyempurnaan yang halus untuk meningkatkan kejelasan dan fleksibilitas.
Pada versi 2013, pasal 4 hingga 10 bersifat rinci namun agak kaku, sehingga organisasi perlu menyesuaikannya dengan konteks masing-masing. Sementara itu, versi 2022 tetap mempertahankan maksud yang sama—mencakup konteks organisasi, kepemimpinan, perencanaan, dukungan, operasional, evaluasi, hingga perbaikan—namun dengan penyusunan ulang kalimat agar lebih mudah dipahami dan diterapkan.
Misalnya, persyaratan sekarang ditulis dengan lebih ringkas, sehingga mengurangi kebingungan bagi pihak yang bertanggung jawab menerapkannya.
Perubahan Terbesar Terjadi pada Annex A
Perubahan paling signifikan dalam ISO 27001:2022 terjadi pada bagian Annex A.
Pada versi 2013, Annex A mencantumkan 114 kontrol keamanan yang dibagi ke dalam 14 domain, seperti:
- A.11 Keamanan Fisik dan Lingkungan
- A.13 Keamanan Komunikasi
Meskipun lengkap, pembagian ini sering tumpang tindih dan membuat penerapan terasa rumit.
Sebaliknya, versi ISO 27001:2022 menyederhanakan struktur ini menjadi 93 kontrol, yang dikelompokkan dalam empat tema utama yang lebih intuitif, yaitu:
- Organisasional – 37 kontrol
- Manusia (People) – 8 kontrol
- Fisik – 14 kontrol
- Teknologi – 34 kontrol
Pendekatan tematik ini membuat kontrol lebih mudah dipahami dan digunakan. Selain itu, penyusunan berdasarkan tema ini juga membantu menyesuaikan kontrol dengan fungsi spesifik dalam organisasi, sehingga lebih praktis dan efisien saat diterapkan.
Perbedaan Utama Secara Rinci: ISO 27001:2013 vs ISO 27001:2022
| Aspek | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Tanggal Terbit | Oktober 2013 | Oktober 2022 |
| Tujuan | Membentuk ISMS untuk mengelola risiko keamanan informasi secara sistematis. | Memperbarui ISMS agar mampu menghadapi ancaman modern (seperti cloud, kerja jarak jauh, serangan siber). |
| Klausul Utama (4–10) | Rinci tapi kurang ramping; fokus pada konteks, kepemimpinan, perencanaan, dll. | Diperhalus agar lebih jelas dan fleksibel; maksud tetap sama tetapi dengan bahasa yang diperbaiki. |
| Kontrol Annex A | 114 kontrol dibagi dalam 14 domain (A.5–A.18). | 93 kontrol dikelompokkan ke dalam 4 tema: Organisasional (37), Manusia (8), Fisik (14), Teknologi (34). |
| Pengelompokan Kontrol | Domain umum (contoh: “A.12 Keamanan Operasional”) dengan beberapa tumpang tindih. | Pengelompokan tematik yang mengurangi duplikasi dan meningkatkan kemudahan penggunaan. |
| Contoh Perubahan Kontrol | “A.9.2.5 Peninjauan hak akses pengguna” dan “A.9.2.6 Penghapusan atau penyesuaian” terpisah. | Dikonsolidasikan menjadi “5.18 Hak Akses” agar implementasi lebih efisien. |
| Kontrol Baru | Tidak ada kontrol yang secara spesifik membahas teknologi baru seperti cloud. | 11 kontrol baru ditambahkan, seperti 5.7 Intelijen Ancaman, 5.23 Keamanan Cloud, 8.28 Kode Aman. |
| Atribut Kontrol | Tidak ada sistem penandaan atau metadata untuk penyelarasan dengan kerangka lain. | Menambahkan atribut: jenis kontrol, properti keamanan, konsep keamanan siber, dll. |
| Klausul 4.2 (Pihak Berkepentingan) | Kurang spesifik; tidak mewajibkan dokumentasi secara eksplisit. | Mengharuskan dokumentasi pihak berkepentingan dan kebutuhan mereka. |
| Klausul 6.1.3 (Penanganan Risiko) | Panduan umum; tidak terlalu fokus pada alasan pemilihan kontrol. | Memperjelas keterkaitan dengan Annex A; wajib memberikan alasan atas kontrol yang dipilih/diabaikan. |
| Klausul 9.1 (Pemantauan) | Kurang spesifik tentang pelaksanaan (misalnya “kapan” dan “siapa”). | Harus menjelaskan dengan jelas “kapan” dan “siapa” dalam kegiatan pemantauan. |
| Penekanan pada Perencanaan | Fokus pada kontrol, bukan integrasi proses. | Menekankan perencanaan (Klausul 6.3) dan integrasi proses dengan aktivitas. |
| Batas Waktu Transisi | Tidak berlaku (standar asli). | 31 Oktober 2025 (batas waktu IAF untuk organisasi bersertifikasi 2013). |
| Manfaat | Dasar yang kuat untuk manajemen keamanan dasar. | Lebih relevan untuk teknologi modern, lebih mudah diselaraskan dengan kerangka seperti NIST/GDPR. |
| Tantangan | Tidak cukup membahas cloud, IoT, atau ancaman canggih. | Perlu pelatihan, peninjauan ulang, dan kemungkinan adopsi alat baru untuk kontrol yang diperbarui. |
1. Jumlah dan Pengelompokan Kontrol di Annex A
Pengurangan jumlah kontrol dari 114 menjadi 93 dalam versi 2022 bukan berarti standar ini menjadi lebih lemah. Sebaliknya, pengurangan ini dilakukan dengan menggabungkan kontrol yang tumpang tindih dan menghapus yang sudah tidak relevan.
Contohnya, pada versi 2013:
- “A.9.2.5 Peninjauan hak akses pengguna”
- dan “A.9.2.6 Penghapusan atau penyesuaian hak akses”
adalah dua kontrol yang terpisah. Di versi 2022, keduanya digabung menjadi satu kontrol yang lebih ringkas yaitu:
“5.18 Hak Akses”
Ini mempermudah penerapan tanpa mengurangi tingkat ketelitian atau efektivitasnya.
Perubahan ke dalam empat tema utama juga meningkatkan kepraktisan penerapan kontrol:
- Kontrol Organisasional: Berfokus pada tata kelola dan kebijakan internal organisasi.
- Kontrol Manusia (People): Menitikberatkan pada faktor manusia seperti pelatihan, kesadaran, dan tanggung jawab.
- Kontrol Fisik: Menyangkut keamanan fisik gedung, perangkat keras, dan fasilitas.
- Kontrol Teknologi: Fokus pada sistem IT, perangkat lunak, jaringan, dan keamanan data.
Struktur baru ini membantu organisasi dalam membagi tanggung jawab secara lebih jelas dan efisien.
Contohnya:
- Manajer fasilitas bisa menangani 14 kontrol fisik.
- Tim IT bisa fokus pada 34 kontrol teknologi.
2. Kontrol Baru yang Diperkenalkan dalam ISO 27001:2022
Untuk menghadapi risiko-risiko baru yang terus berkembang, ISO 27001:2022 memperkenalkan 11 kontrol baru berikut:
5.7 Intelijen Ancaman (Threat Intelligence)
Organisasi kini harus mengumpulkan dan menganalisis informasi tentang potensi ancaman, misalnya memantau forum dark web untuk mendeteksi kredensial yang bocor.
Pendekatan ini bersifat proaktif, berbeda dengan versi 2013 yang lebih reaktif.
5.23 Keamanan Informasi dalam Penggunaan Layanan Cloud
Dengan semakin banyaknya organisasi menggunakan cloud, kontrol ini memastikan adanya konfigurasi yang aman dan pengelolaan vendor yang tepat.
Contoh: Perusahaan yang memakai Microsoft Azure harus menilai praktik keamanan dari penyedia layanannya.
5.30 Kesiapan ICT untuk Kelangsungan Bisnis
Memastikan sistem TI tetap mendukung operasional saat terjadi gangguan,
misalnya dengan cadangan data (backup) untuk pemulihan dari serangan ransomware.
7.4 Pemantauan Keamanan Fisik
Organisasi harus memantau keamanan fisik lokasi, misalnya dengan penggunaan CCTV untuk mendeteksi akses yang tidak sah.
8.1 Masking Data
Data sensitif, seperti informasi pelanggan, harus disamarkan saat digunakan untuk pengujian atau bila terjadi pelanggaran data, agar tidak mudah diekspos.
8.9 Manajemen Konfigurasi
Sistem harus dikonfigurasi dengan aman untuk mengurangi kerentanan.
Contoh: Menonaktifkan port yang tidak digunakan agar tidak dimanfaatkan penyerang.
8.10 Penghapusan Informasi
Data harus dibuang secara aman, seperti menghancurkan hard drive lama, agar tidak bisa dipulihkan oleh pihak yang tidak berwenang.
8.11 Pencegahan Kebocoran Data (Data Leakage Prevention)
Menggunakan alat seperti enkripsi atau firewall untuk mencegah kebocoran data, sangat penting di era kerja jarak jauh.
8.12 Penyaringan Web (Web Filtering)
Memblokir akses ke situs berbahaya membantu mencegah serangan phishing dan malware.
8.16 Pemantauan Aktivitas
Pemantauan sistem yang ditingkatkan untuk mendeteksi aktivitas mencurigakan, seperti upaya login yang tidak biasa.
8.28 Pengkodean Aman (Secure Coding)
Pengembang perangkat lunak harus mengikuti praktik pengkodean yang aman guna mengurangi kerentanan dalam aplikasi internal.
3. Atribut Kontrol yang Diperbarui di ISO 27001:2022
Salah satu fitur baru yang diperkenalkan pada versi 2022 adalah penambahan atribut (tag) pada setiap kontrol keamanan. Atribut ini membantu organisasi mengelompokkan, memahami, dan menyelaraskan kontrol dengan kerangka kerja lain.
Berikut adalah jenis atribut yang digunakan:
Jenis Kontrol (Control Type)
- Preventif: Untuk mencegah insiden keamanan.
- Detektif: Untuk mengidentifikasi insiden yang terjadi.
- Korektif: Untuk memperbaiki atau memulihkan setelah insiden.
Properti Keamanan (Security Properties)
- Kerahasiaan (Confidentiality)
- Integritas (Integrity)
- Ketersediaan (Availability)
Konsep Keamanan Siber (Cybersecurity Concepts)
Dihubungkan dengan kategori dalam kerangka kerja NIST Cybersecurity Framework (NIST CSF):
- Identify (Identifikasi)
- Protect (Perlindungan)
- Detect (Deteksi)
- Respond (Respons)
- Recover (Pemulihan)
Kemampuan Operasional (Operational Capabilities)
Misalnya, area seperti Tata Kelola (Governance) atau Manajemen Aset (Asset Management).
Domain Keamanan (Security Domains)
Contohnya:
- Keamanan Aplikasi (Application Security)
- Keamanan Fisik (Physical Security)
Manfaat utama dari atribut ini adalah meningkatkan fleksibilitas dan interoperabilitas.
Organisasi kini bisa:
- Memetakan kontrol ISO ke kerangka lain seperti GDPR atau NIST, dan
- Menyesuaikannya dengan risiko spesifik yang dihadapi oleh organisasi tersebut.
Pada versi 2013, kontrol tidak memiliki metadata semacam ini, sehingga lebih sulit untuk diintegrasikan dengan standar keamanan lainnya.
4. Pembaruan Klausul (Bagian Utama ISO)
Beberapa klausul utama dalam ISO 27001:2022 mengalami penyempurnaan penting untuk meningkatkan kejelasan, akuntabilitas, dan penerapan yang lebih terukur. Berikut adalah tiga klausul yang mengalami perubahan paling mencolok:
Klausul 4.2 – Memahami Kebutuhan dan Harapan Pihak Berkepentingan
Versi 2022 mengharuskan organisasi untuk mendokumentasikan siapa saja pihak berkepentingan (seperti pelanggan, regulator, mitra, dll.) dan apa saja kebutuhan serta harapan mereka.
Pada versi 2013, klausul ini kurang tegas dan tidak mewajibkan dokumentasi secara eksplisit.
Klausul 6.1.3 – Penanganan Risiko Keamanan Informasi
Sekarang organisasi diwajibkan untuk:
- Memberikan alasan (justifikasi) atas pemilihan dan pengecualian kontrol.
- Menghubungkan secara langsung dengan kontrol di Annex A.
Pada versi 2013, panduan ini lebih umum dan tidak menuntut penjelasan secara eksplisit, sehingga bisa menimbulkan interpretasi yang berbeda-beda.
Klausul 9.1 – Pemantauan, Pengukuran, Analisis, dan Evaluasi
Versi terbaru menambahkan kejelasan dengan mensyaratkan organisasi untuk menentukan “kapan” dan “siapa” yang bertanggung jawab dalam kegiatan pemantauan.
Ini membantu memastikan kegiatan tersebut dilakukan secara tepat waktu dan oleh pihak yang jelas.
Versi 2013 tidak menjabarkan hal ini secara rinci.
Tujuan dari Perubahan Ini:
Perubahan-perubahan ini dirancang untuk:
- Meningkatkan akuntabilitas dalam penerapan ISMS.
- Menjamin ISMS lebih operasional dan terukur.
- Mengurangi ruang interpretasi yang terlalu bebas, sehingga mempermudah proses audit dan pengawasan internal.
5. Penekanan pada Perencanaan dan Proses
Dalam versi ISO 27001:2022, Klausul 6.3 memberikan penekanan lebih besar pada perencanaan perubahan terhadap Sistem Manajemen Keamanan Informasi (ISMS). Selain itu, kata "proses" kini disebutkan secara eksplisit bersama dengan aktivitas-aktivitas lainnya.
Apa Artinya?
Perubahan ini menunjukkan pergeseran penting:
- Dari fokus lama yang lebih menitikberatkan pada kontrol individu yang berdiri sendiri (versi 2013),
- Menjadi pendekatan baru yang mengintegrasikan keamanan ke dalam alur kerja organisasi secara menyeluruh.
Contoh Praktis:
Alih-alih memperlakukan intelijen ancaman (threat intelligence) sebagai tugas tambahan yang terpisah, sebuah perusahaan bisa:
- Menggabungkannya langsung ke dalam proses operasional TI, seperti sistem pemantauan atau manajemen insiden sehari-hari.
Manfaat Pendekatan Ini:
- Meningkatkan efisiensi dan konsistensi penerapan keamanan.
- Membantu memastikan bahwa keamanan bukan hanya “tambahan”, tapi bagian inti dari proses bisnis organisasi.
Overt Software Solutions dan Perjalanan Kami Menuju ISO 27001:2022
Di Overt Software Solutions, kami adalah tim yang berbasis di Inggris dan memiliki semangat tinggi dalam mendukung dunia pendidikan dan bisnis melalui layanan TI yang berkualitas tinggi.
Selama bertahun-tahun, kami telah menjadi mitra yang andal, membantu klien dalam berbagai hal—mulai dari dukungan TI terkelola, pengembangan perangkat lunak, hingga keamanan siber.
Kami selalu memandang serius keamanan informasi—karena ini adalah inti dari semua yang kami lakukan.
Itulah mengapa kami sangat bangga telah memiliki sertifikasi ISO 27001:2013, sebagai bukti nyata bahwa kami benar-benar peduli terhadap keamanan data para klien kami.
Peningkatan ini bukan sekadar formalitas bagi kami—ini menunjukkan bahwa kami selalu berpikir ke depan dan siap menghadapi tantangan keamanan siber masa kini. Dengan beralih ke standar tahun 2022, kami telah memperkuat Sistem Manajemen Keamanan Informasi (ISMS) kami dengan sejumlah kontrol baru yang hebat, seperti “5.23 Keamanan informasi untuk penggunaan layanan cloud” dan “8.11 Pencegahan kebocoran data.”
Apa artinya bagi pelanggan kami? Jika Anda adalah lembaga pendidikan yang menggunakan alat manajemen identitas federasi kami—seperti Shibboleth atau SAML—Anda bisa tenang karena data sensitif mahasiswa dan staf di cloud kini lebih aman. Dan untuk bisnis yang mengandalkan dukungan TI khusus atau solusi perangkat lunak dari kami, ini berarti pertahanan yang lebih kuat terhadap ancaman berbahaya seperti ransomware, sehingga operasional tetap aman dan reputasi Anda tetap terjaga.
Bagi kami, peningkatan ini adalah tentang memberikan ketenangan bagi pelanggan. Kami tidak sekadar mengikuti standar industri—kami melampauinya. Ini tentang memastikan Anda merasa percaya diri dengan layanan kami, karena kami siap melindungi Anda dengan solusi yang aman dan andal. Dengan begitu, Anda bisa fokus pada hal yang paling penting bagi Anda—entah itu mencerdaskan generasi muda atau mengembangkan bisnis Anda. Kami bangga menjadi bagian dari perjalanan Anda, dan langkah kami menuju ISO 27001:2022 semakin memperkuat komitmen kami kepada Anda.
Key Takeaways
ISO 27001:2022 menyempurnakan versi pendahulunya (2013) dengan klausul yang lebih jelas, struktur ulang pada Annex A, dan kontrol baru yang dirancang untuk menghadapi ancaman masa kini.
Mulai dari threat intelligence hingga secure coding, pembaruan ini membantu organisasi tetap tangguh menghadapi berbagai risiko.
Di Overt Software Solutions, keberhasilan kami dalam melakukan peningkatan ke ISO 27001:2022 menegaskan komitmen kami untuk memberikan layanan TI dan keamanan terbaik.
Pencapaian ini memperkuat kemampuan kami dalam melindungi data pelanggan di dunia digital yang semakin penuh ancaman.
Apakah Anda adalah lembaga pendidikan atau bisnis yang mencari solusi keamanan siber yang kuat, Overt Software Solutions siap membantu Anda lebih baik dari sebelumnya. Hubungi kami hari ini untuk mengetahui bagaimana kami dapat meningkatkan keamanan Anda dan mendukung kesuksesan Anda.